證券數據中心技術方案

《證券數據中心技術方案》由會員分享，可在線閱讀，更多相關《證券數據中心技術方案（156頁珍藏版）》請在裝配圖網上搜索。

1、證券有限責任公司證券有限責任公司證券有限責任公司證券有限責任公司新建數據中心網絡項目新建數據中心網絡項目新建數據中心網絡項目新建數據中心網絡項目招標編號招標編號招標編號招標編號：技技術術標標書書證券新建數據中心網絡項目-技術方案深圳市方迪計算機系統有限公司 I目目 錄錄1項目背景與需求分析項目背景與需求分析.11.1項目背景.11.2需求分析.11.2.1新數據中心設計.11.2.2業(yè)務支持設計.21.2.3路由設計.21.2.4安全設計.21.2.5網絡服務質量（QoS）策略.31.2.6IP 地址規(guī)劃.31.3設計原則、策略與規(guī)范.31.3.1設計原則.31.3.2網絡設計策略.51.3.

2、3網絡設計標準與規(guī)范.52網絡設計方案網絡設計方案 .72.1集中交易系統對網絡的設計要求.72.1.1集中交易數據交換流程 .72.1.2集中交易體系結構.82.2網絡結構設計.102.2.1網絡總體架構設計.102.2.2廣域網接入網絡設計.122.2.3交易內網網絡設計.142.2.4交易隔離區(qū)網絡設計.162.2.5廣域與災備域網絡設計 .172.2.6安全隔離網網絡設計.182.3可靠性設計.192.3.1廣域網接入可靠性設計 .202.3.2交易內網可靠性設計.232.3.3交易隔離網可靠性設計 .262.3.4廣域與災備域可靠性設計.292.3.5安全隔離網可靠性設計 .312.

3、4網絡安全設計.342.4.1安全保障建議措施.342.4.2防火墻安全部署設計.362.5雙網卡冗余備份方案的網絡設計建議.373設備配置方案設備配置方案 .403.1廣域網接入路由器配置.403.2交易內網/交易隔離網交換機配置.403.3廣域網/災備網交換機配置.41證券新建數據中心網絡項目-技術方案深圳市方迪計算機系統有限公司 II3.4安全隔離區(qū)與 DMZ 區(qū)防火墻配置 .413.5安全隔離網交換機配置.413.6DMZ 區(qū)域及辦公網交換機配置.414系統實施與測試方案系統實施與測試方案.424.1項目風險控制.424.2工程實施方案.434.2.1第一階段：實施方案準備.434.2

4、.2第二階段：網絡安裝.454.2.3第三階段：系統測試.454.2.4第四階段：網絡割接.464.2.5第五階段：回退計劃.464.2.6第六階段：監(jiān)控及優(yōu)化 .464.3測試與驗收方案.474.3.1單元測試.484.3.2整體測試.504.3.3系統集成測試.524.3.4測試驗收單 .535工程項目管理計劃工程項目管理計劃.565.1項目組織結構.565.2技術服務人員情況介紹.615.3項目實施計劃.645.3.1設計方案認定.645.3.2物理結構圖設計.645.3.3實施計劃的確定.655.3.4工程施工督導、監(jiān)察.655.3.5工程安裝、調試和最終驗收.655.4項目進度計劃.

5、15.4.1設備采購與設置.25.4.2工程準備.35.4.3工程實施.45.4.4完善優(yōu)化工作.55.4.5工程驗收.55.5項目管理.15.5.1人員管理.15.5.2物資管理.15.5.3進度管理.15.5.4文檔管理.25.5.5合同管理.25.5.6項目計劃的控制.25.5.7采購過程的控制.25.5.8安裝過程的控制.3證券新建數據中心網絡項目-技術方案深圳市方迪計算機系統有限公司 III5.5.9用戶服務.35.6項目風險管理.35.6.1項目風險概述.35.6.2項目風險控制措施.55.7項目質量控制.95.7.1項目管理概述.95.7.2方迪公司質量體系簡介 .95.7.3項

6、目的質量保證.115.7.4文檔移交不同實施階段移交的文檔清單.145.7.5項目表格.155.7.6交付設備文檔清單.155.7.7項目實施表格.164驗收證明驗收證明.205系統集成日記錄表系統集成日記錄表.216售后服務與培訓方案售后服務與培訓方案.236.1方迪客戶服務體系介紹.236.1.1客戶服務體系概要.236.1.2客戶服務架構.246.1.3客戶服務模式.256.1.4CASE 處理流程 .266.1.5RMA 處理流程.326.1.6客戶滿意度調查.336.2技術服務內容.346.2.1基本服務.346.2.2高級服務.356.2.3網絡系統健康檢查與維修服務.416.2.

7、4網絡安全高級服務.456.3售后服務計劃及響應.566.3.1服務響應承諾.566.3.2方迪提供的本地化服務 .576.4培訓計劃.586.4.1現場培訓.586.4.2不定期的技術交流培訓 .596.4.3網上資料庫 .597產品性能分析產品性能分析 .607.1CISCO 3845 性能分析 .607.1.1產品概述.607.1.2用于數據、話音和視頻的安全網絡連接.617.1.3融合 IP 通信.627.1.4集成化服務 .637.1.5主要特性和優(yōu)勢.63證券新建數據中心網絡項目-技術方案深圳市方迪計算機系統有限公司 IV7.1.6產品架構.657.1.7總結.667.2CISCO

8、 CATALYST 4948 性能分析.677.2.1主要特性和優(yōu)勢.677.2.2軟件配置選項.697.2.3技術規(guī)格.697.3JUNIPER SSG 300 性能分析.747.3.1概述.747.3.2特性和優(yōu)勢 .74證券新建數據中心網絡項目-技術方案深圳市方迪計算機系統有限公司 11項目背景與需求分析項目背景與需求分析1.1 項目背景項目背景證券有限責任公司于 1992 年 11 月成立。證券以科技為依托，合理配置資源，突出比較競爭優(yōu)勢，不斷推出特色服務，將公司建成規(guī)模適中、效益顯著的綜合類證券公司。目前證券在全國已經擁有包括深圳深南大道營業(yè)部、深圳人民北路營業(yè)部、北京車公莊大街營業(yè)

9、部 、上海零陵路營業(yè)部、上海長寧路營業(yè)部、竹苑路營業(yè)部、武漢新華下路營業(yè)部、鞍山南勝利路營業(yè)部、鞍山二道街營業(yè)部、南通孩兒巷營業(yè)部、沈陽文藝路營業(yè)部、杭州鳳起路營業(yè)部、廣州花城大道營業(yè)部等 13 家營業(yè)部以及 1 家服務部。為了適應當前證券市場發(fā)展的需要，證券將在原機房附近擴建一新數據中心，建設新的證券中心機房。1.2 需求分析需求分析本項目可以認為是證券新中心機房的建設和機房搬遷兩大部分組成。項目總體目標是建立一個設計規(guī)范、功能完備、性能優(yōu)良、安全可靠、有良好的擴展性與可用性、可持續(xù)穩(wěn)定運行的公司網絡。1.2.1 新數據中心設計新數據中心設計為了適應當前證券市場發(fā)展的需要，證券將在原數據中心

10、搬遷到新機房，建立證券新中心機房。新中心機房是證券整個公司網絡的“心臟” ，設計效果的好壞將直接影響整個網絡的性能。網絡系統必須保證 7X24 小時連續(xù)穩(wěn)定運行；在設備選型方面充分考慮處理能力和高可擴展性；證券新建數據中心網絡項目-技術方案深圳市方迪計算機系統有限公司 2與外部可信任公司如交易所、登記公司、銀行等的接入采用可靠的技術隔離手段，確保網絡安全。1.2.2 業(yè)務支持業(yè)務支持設計設計滿足當前公司業(yè)務需求，包括：集中交易系統、辦公自動化系統、財務系統、清算開戶系統、以及其它系統接入。1.2.3 路由設計路由設計選擇標準的路由協議，能適合不同廠商的網絡設備，能進行較為快速的網絡收斂, 盡量

11、避免使用靜態(tài)路由；采用有效的技術手段抑制拓撲變化所帶來的網絡不穩(wěn)定性，合理規(guī)劃營業(yè)網點的 IP 地址，減少路由條目；在保證網絡運行穩(wěn)定的基礎上，盡量啟用路由加速功能，加快包交換速度。1.2.4 安全設計安全設計公司網絡傳輸大量對安全性要求極高的敏感數據，任何的安全漏洞都可能造成嚴重的后果。網絡的安全性方面必須至少具備以下的一些功能：必須有能力抵御已知的網絡攻擊。推薦一個功能強大的、有效的網絡攻擊檢測和防御產品，切實保護網絡資源的安全。能夠實時監(jiān)控網絡的一切活動，準確判斷、識別、阻止已知的各種類型的網絡攻擊行為；能夠方便、可靠地更新攻擊行為模式庫以適應攻擊方式的不斷推陳出新；能夠對可疑的網絡行為

12、發(fā)出警告，并對經確定的攻擊行為自動更新至模式庫；證券新建數據中心網絡項目-技術方案深圳市方迪計算機系統有限公司 3能夠與已有的其他各種類型防護設備協同工作，充分挖掘、發(fā)揮這些設備的安全功能，必須對生產網絡沒有任何實質性的不良的影響。能夠有效的控制計算機病毒的傳播范圍，將損失減小到最低；采取有效手段使點到點的數據傳輸安全，防止數據被非法竊取、泄露、篡改；營業(yè)部的網絡安全設計需納入到公司網絡安全整體設計中，充分挖掘、利用營業(yè)部路由器、交換機安全方面的特性，部署網絡安全的第一道防線；提供防病毒系統部署方案，保證業(yè)務系統的應用及數據安全。1.2.5 網絡服務質量（網絡服務質量（QoS）策略）策略為了充

13、分利用廣域網線路帶寬資源，并確保實時性與重要性高的數據及時傳輸，須對備份線路帶寬部署嚴格、有效的服務質量（QoS）策略。1.2.6 IP 地址規(guī)劃地址規(guī)劃按區(qū)域統一規(guī)劃、規(guī)范 IP 地址的使用；所采用的 IP 規(guī)劃規(guī)范必須能夠有利于路由匯聚，便于日常的網絡管理和運維；IP 規(guī)劃規(guī)范必須具有良好的擴展性。1.3 設計原則、策略與規(guī)范設計原則、策略與規(guī)范1.3.1 設計原則設計原則深圳市方迪計算機系統有限公司作為一家優(yōu)秀的系統集成商，向用戶提供的不僅僅是設備，而是整套的技術與服務。在方案設計時，我們將嚴格遵循以下設計原則：證券新建數據中心網絡項目-技術方案深圳市方迪計算機系統有限公司 4高可靠性原

14、則：高可靠性原則：網絡系統的穩(wěn)定可靠是應用系統正常運行的關鍵保證，在網絡設計中選用高可靠性網絡產品，合理設計網絡架構，制訂可靠的網絡備份策略，保證網絡具有故障自愈的能力，最大限度地支持各個系統的正常運行。技術先進性和實用性原則：技術先進性和實用性原則：保證滿足證券交易業(yè)務的同時，又要體現網絡系統的先進性。在網絡設計中要把先進的技術與現有的成熟技術和標準結合起來，充分考慮到證券數據中心網絡應用的現狀和未來發(fā)展趨勢。高性能原則：高性能原則：承載網絡性能是網絡通訊系統良好運行的基礎，設計中必須保障網絡及設備的高吞吐能力，保證各種信息（數據、語音、圖像）的高質量傳輸，才能使網絡不成為證券各項業(yè)務開展的

15、瓶頸。標準化原則：標準化原則：支持國際上通用標準的網絡協議、國際標準的大型的動態(tài)路由協議等開放協議，有利于保證與其它網絡(如公共數據網、證券網絡、其它網絡)之間的平滑連接互通，以及將來網絡的擴展。靈活性及可擴展性原則：靈活性及可擴展性原則：根據未來業(yè)務的增長和變化，網絡可以平滑地擴充和升級，最大程度的減少對網絡架構和設備的調整。證券新建數據中心網絡項目-技術方案深圳市方迪計算機系統有限公司 5可管理性原則：可管理性原則：對網絡實行集中監(jiān)測、分權管理，并統一分配帶寬資源。選用先進的網絡管理平臺，具有對設備、端口等的管理、流量統計分析，及可提供故障自動報警等等。安全性及高性價比原則：安全性及高性價

16、比原則：制訂統一的骨干網安全策略，整體考慮網絡平臺的安全性。網絡方案的設計必須充分考慮投資保護。1.3.2 網絡設計策略網絡設計策略嚴格保障安全嚴格保障安全：證券數據中心網絡需求多，嚴格的安全訪問控制可以有效控制風險，保證網絡安全。方案設計要考慮制定嚴格的訪問控制，禁止非法訪問。標準化標準化原則原則：網絡設計中所用的各種協議、接口規(guī)程須符合國際標準。方案設計中制定的操作標準、規(guī)范，應沿襲骨干網改造、數據集中工程網絡建設的成果，保持全行網絡的一致性。易于維護易于維護：網絡結構設計清晰明了、層次分明，配置力求簡潔規(guī)范，便于維護管理。證券新建數據中心網絡項目-技術方案深圳市方迪計算機系統有限公司 6

17、1.3.3 網絡設計標準與規(guī)范網絡設計標準與規(guī)范證券屬于一個典型的行業(yè)網絡，必須遵循行業(yè)相關的網絡標準，同時，為了保證各種網絡設備的兼容性和業(yè)務的不斷發(fā)展需要，也必須遵循國際上的相關的統一標準，我們在設計證券的網絡解決方案的時候，主要參考的標準如下：標標 準準說說 明明證券經營機構營業(yè)部信息系統技術管理規(guī)范（試行）IEEE 802.3z光纖千兆位以太網標準（LX 和 SX）和短距離銅線傳輸千兆位以太網標準（CX）IEEE 802.3ab5 類銅介質線纜千兆位以太網標準 1000Base-TIEEE 802.3u快速以太網 100 BASE-TXIEEE 802.3u10M 以太網 10 BAS

18、E-TIEEE 802.3xFull-Duplex with Flow Control（流量控制）IEEE 802.1dSpanning Tree Protocol（生成書協議）IEEE 802.1qVirtual Bridged Local Area Networks 協議IEEE 802.3ad鏈路集合控制協議IEEE 802.1X Port based network access control protocol（基于端口的訪問控制協議）IEEE 802.1p 優(yōu)先級隊列，包括 GARPANSI/EIA/TIA-569電信走道和空間的商用建筑標準ANSI/EIA/TIA-606商用建筑

19、物電信設備的管理標準GBJ 232-8電氣裝置安裝工程施工及驗收規(guī)范證券新建數據中心網絡項目-技術方案深圳市方迪計算機系統有限公司 7標標 準準說說 明明YD5037-97中國公用計算機互聯網工程設計暫行規(guī)定其它符合現行的國際、國家和行業(yè)標準規(guī)范證券新建數據中心網絡項目-技術方案深圳市方迪計算機系統有限公司 82網絡設計方案網絡設計方案2.1 集中交易系統對網絡的設計要求集中交易系統對網絡的設計要求證券集中交易系統是證券公司最核心的業(yè)務系統，因此證券新建數據中心的體系架構都須以集中交易系統為核進行設計。這里我們將討論下在集中交易系統對網絡的設計要求。2.1.1 集中交易數據交換流程集中交易數據

20、交換流程根據上海證券交易所以及深圳證券交易所制定的證券交易流程，各券商與交易所的交易數據的交換是分層設計的。集中交易系統數據交換的流程示意如下：這是數據交換的一個邏輯拓撲圖。證券新建數據中心網絡項目-技術方案深圳市方迪計算機系統有限公司 9證券公司與交易所的數據交換是通過“網關” 。網關指放置在證券公司、用于連接交易所交易系統的軟硬件設施，俗稱通信端口或小站。深交所通過密鑰 KEY 的方式，上交所以分配操作員密碼方式把小站與交易所席位進行綁定。小站分為報盤小站和行情小站,報盤小站是雙向的，行情小站只是單向接收。證券交易所提供的網關設備并不存取數據，雙向報盤及單向接收的行情數據都要存放在文件服務

21、器上。以前的文件服務器基本上都是 Novell 系統。隨著TCP/IP 的流行，現在許多證券公司的文件服務器都切換到 Windows 或者Linux。外圍層，也叫做前置處理機，有報盤程序和行情接收程序，報盤程序每隔幾毫秒就讀一次，在交易時間內，這個程序數百萬次的讀取和寫入這些 DBF 文件，完成證券公司與交易所的數據實時交換。券商的應用系統，應用系統采用多層技術體系架構，包括通訊中間層、業(yè)務中間層以及數據庫層。多層技術體系架構能夠很好地保證系統的安全性：中間層(業(yè)務邏輯層)隔離了客戶(用戶界面層)直接對數據庫系統的訪問，保護了數據庫系統和數據的安全。業(yè)務邏輯層緩沖了用戶與數據庫系統的實際連接，

22、使數據庫系統的實際連接數量遠小于應用數量。與此對應，證券集中交易系統在網絡上也需要在邏輯或物理上劃分相應的功能網段。2.1.2 集中交易體系結構集中交易體系結構針對證券交易系統對數據交換流程的規(guī)定，結合證券采用的集中交易系統，方迪公司建議部署如下圖所示的集中交易系統體系結構。證券新建數據中心網絡項目-技術方案深圳市方迪計算機系統有限公司 10集中交易系統按地域及功能的不同可以劃分為中央交易系統、災備交易系統以及營業(yè)部交易系統。與此對應，在本項目證券將中央交易系統部署在新建的數據中心，災備交易系統部署在深圳證券通信公司券災備機房，各營業(yè)部則部署營業(yè)部交易系統。集中交易系統的體系結構建議為四層架構

23、：數據服務器+應用服務器+通訊服務器+操作終端。它遵循了業(yè)界主流的多層架構。這種模式將應用系統的客戶端表現、業(yè)務邏輯、數據服務分層設計，單獨實現，這樣可以在不改變其它層次的情況下，獨立地對客戶端表現、業(yè)務邏輯和數據服務單獨修改和擴展，大大增加系統的靈活性和擴展性。證券新建數據中心網絡項目-技術方案深圳市方迪計算機系統有限公司 112.2 網絡結構設計網絡結構設計2.2.1 網絡總體架構設計網絡總體架構設計建議證券在新數據中心網絡采取分區(qū)的網絡架構規(guī)劃設計，采用獨立擴展的功能模塊化分區(qū)設計有如下幾個顯著優(yōu)勢：1.安全性好容易明確不同網絡區(qū)域之間的安全關系，可以單獨對每個區(qū)域進行安全實施，不會對其

24、它區(qū)域造成影響。2.擴展性好可根據不同區(qū)域和層次的功能按需建設，業(yè)務部署靈活，可以非常方便的增加新 Server Farm 區(qū)，而不改變原有的網絡結構。3.提高可用性可以最大限度的隔離故障域，簡化數據路徑，加快故障收斂時間。4.易管理網絡結構清晰，日常的運維變得更加簡單，問題定位容易。 依據模塊化功能分區(qū)設計架構，我們建議證券新建數據中心網絡結構設計如下圖所示：證券新建數據中心網絡項目-技術方案深圳市方迪計算機系統有限公司 12結合證券當前業(yè)務區(qū)域及特點，建議全網規(guī)劃為 7 個網絡區(qū)域：區(qū)域 1：交易核心內網；區(qū)域 2：交易隔離網；區(qū)域 3：公司廣域網（上海證通） 、深圳證通、中建工銀行三方、

25、深/ 滬單雙向衛(wèi)星網；區(qū)域 4：災備；區(qū)域 5：安全隔離網；區(qū)域 6：DMZ 區(qū)域；區(qū)域 7：部門辦公網證券新建數據中心網絡項目-技術方案深圳市方迪計算機系統有限公司 13建議全網采用純千兆網絡，所有網絡設備原則上配有冗余電源配置。我們將分為廣域網接入、交易內網、交易隔離網、廣域與災備區(qū)、安全隔離區(qū)等區(qū)域進行設計，具體網絡設計如下：2.2.2 廣域網接入網絡設計廣域網接入網絡設計目前證券共有 14 個分支機構，各分支機構均有 1 條 SDH 電路作為主線路，備份線路采用中國電信 ISDN 以及 VPN 線路。其中，采用中國電信提供 SDH 線路有上海分部一、上海分部二、北京分部、南通分部、武漢

26、分部、鞍山分部一、鞍山海城分部、沈陽分部、杭州分部；采用中國聯通提供專線的分部有深圳一部、深圳二部、深圳江蘇大廈總部、分部和上海分部一通過幀中繼復用 1 條電路、廣州分部。證券現有的外聯機構接入狀況為：深圳證券通訊公司有 1 條中國電信 SDH 電路和 1 條中國電信 DDN 電路，均直連中心機房；上海證券通訊公司有 2 條電路到上海分部一，其中 1 條中國聯通 SDH 電路，1 條中國電信 DDN 電路（上海市場的報盤走公司廣域網通過上海分部一中轉到上海證通） 。中國工商銀行有 1 條中國電信 SDH 電路到中心機房，1 條網通 SDH 電路到深圳江蘇大廈總部（通過路由實現互備） ；中國銀行

27、和中國建行銀行分別有 1條中國聯通 SDH 電路到中心機房（建行專線需配置成幀模式） ，1 條中國網通SDH 電路到北京分部（通過路由實現互備） 。我們建議將上述分支機構及外聯機構統一為“廣域網接入區(qū)”進行分區(qū)設計與管理。廣域網接入區(qū)目前有 13 條電信 SDH 線路接入，7 條網通 SDH 線路接入。廣域網接入區(qū)網絡設計如下圖所示：證券新建數據中心網絡項目-技術方案深圳市方迪計算機系統有限公司 14對于廣域網接入區(qū)這樣一個關鍵網絡區(qū)域，建議新購兩臺高性價比的接入路由器分別接入不同運營商線路。各線路接入方式維持現有不變。每臺路由器各配置 24 個 G.703 端口，實現設備、模塊的冗余互備。I

28、SDN 備份線路對應的路由器延用現有設備。目前的 Cisco3640 接入路由器可以做為上述兩臺路由器的冷備路由器，進一步提高廣域網接入的可靠性。建議配置 2 臺 Cisco 3845 擔當廣域網接入路由器。Cisco 3800 系列集成多業(yè)務路由器建立在思科 20 年創(chuàng)新技術的基礎之上，通過為客戶提供無與倫比的網絡靈活性、性能和智能性。憑借透明地將先進技術、可適應服務和安全企業(yè)通信集成入單一永續(xù)系統，Cisco 3800 系列路由器簡化了部署和管理、降低了網絡成本和復雜度，并提供了無可匹敵的投資保護。Cisco 3800 系列路由器具有內嵌安全處理、大幅系統和內存優(yōu)化以及全新高密度接口，可在

29、要求最嚴格的企業(yè)環(huán)境中提供擴展關鍵任務安全性、IP 電話、商業(yè)視頻、網絡分析和 Web證券新建數據中心網絡項目-技術方案深圳市方迪計算機系統有限公司 15應用所需的性能、可用性和可靠性。2.2.3 交易內網網絡設計交易內網網絡設計證券交易內網是核心業(yè)務服務器和數據的接入區(qū)域，交易服務器、歷史服務器、溫備服務器以及交易中間件 KCXP 等關鍵業(yè)務和數據均部署在此區(qū)域。因此交易內網的接入交換機要求是高性能，無阻塞，可靠以及容易擴展。交易內網網絡設計如下圖所示：如上圖所示：1) 交換機端口劃分內網 VLAN1 和內網 VLAN2，實現邏輯隔離；2) 交易核心內網服務器接入內網 VLAN1 端口；3)

30、 內網 VLAN2 端口作為交易隔離網交換機故障時的備份端口。證券新建數據中心網絡項目-技術方案深圳市方迪計算機系統有限公司 16交易內網的交換機建議采用 1 臺 Cisco Catalyst 4948。Catalyst 4948 是一款線速、低延遲、第二到四層、1 機架單元（1RU）固定配置交換機，可提供進行了優(yōu)化設計的的服務器集群機架的交換。Cisco Catalyst 4948 以成熟的 Cisco Catalyst 4500 系列硬件和軟件架構為基礎，為高性能服務器和工作站的低密度、多層匯聚提供了出色性能和可靠性。Cisco Catalyst 4948 具有 48 個線速10/100/

31、1000BASE-T 端口，并另有 4 個線速端口。我們推薦證券的 Cisco Catalyst 4948 是一款采用了一個 96Gbps 交換矩陣，在硬件中為第二到四層流量提供了 72Mpps 的轉發(fā)速率，從而為數據密集型應用提供了線速吞吐率和低延遲。無論有多少路由條目或啟用了多少第三層和第四層服務，都能保證交換性能?；谟布乃伎瓶焖俎D發(fā)路由架構提高了可擴展性和性能。Catalyst 4948-E 的 IOS 配置的是增強第三層鏡像，包括最短路徑優(yōu)先打開（OSPF）、中間系統到中間系統（IS-IS）、增強內部網關路由協議（EIGRP）和邊界網關協議（BGP）。Cisco Catalyst

32、4948 無論從性能、功能還是高可靠性方面都極具優(yōu)勢：性能：性能：性能相當于一臺 4500+ Sup5/10GE全部端口線速設計為低延時 2-4us大緩存,減少丟包功能：功能：軟件功能和與 4500 相同支持高級協議如 ISIS,IGMP V3高可靠性：高可靠性：部件熱拔插基于成熟的 4500 平臺雙電源智能冗余風扇證券新建數據中心網絡項目-技術方案深圳市方迪計算機系統有限公司 17支持 AC/DC 混合2.2.4 交易隔離區(qū)網絡設計交易隔離區(qū)網絡設計交易隔離區(qū)內將部署包括交易中間件 KCBP、溫備/災備復制服務器以及滬深報盤、滬深行情、消息中間件 KCXP 以及各委托主站等服務器。交易隔離區(qū)

33、的網絡設計如下圖所示：如上圖所示：1) 交換機端口劃分內網 VLAN1 和內網 VLAN2，實現邏輯隔離2) 交易隔離區(qū)服務器接入內網 VLAN2 端口3) 內網 VLAN1 端口作為交易核心網交換機故障時的備份端口證券新建數據中心網絡項目-技術方案深圳市方迪計算機系統有限公司 18Cisco Catalyst 4948 以成熟的 Cisco Catalyst 4500 系列硬件和軟件架構為基礎，為高性能服務器和工作站的低密度、多層匯聚提供了出色性能和可靠性具有 48 個線速 10/100/1000BASE-T 端口。交易隔離區(qū)的交換機建議采用 1 臺與核心交易網交換機一樣配置的 Cisco

34、Catalyst 4948。2.2.5 廣域與災備域網絡設計廣域與災備域網絡設計廣域與災備域內部署有滬深報盤、滬深行情、消息中間件 KCXP、各委托主站等服務器以及存管采集、存管中間件、辦公系統、單/雙向衛(wèi)星接收機等系統。廣域與災備區(qū)網絡設計如下圖所示：如上圖所示：證券新建數據中心網絡項目-技術方案深圳市方迪計算機系統有限公司 191) 配備 2 臺三層交換機2) 2 臺交換機之間配置 HSRP，實現終端虛擬網關3) 此區(qū)域服務器集中接入一臺交換機,另一臺溫備此區(qū)域交換機建議采用 2 臺與核心交易網交換機一樣配置的 Cisco Catalyst 4948。2.2.6 安全隔離網網絡設計安全隔離

35、網網絡設計在網絡上，VLAN 是一個獨立的廣播域，也是一個獨立的沖突域，也就是說，在同一 VLAN 之中的用戶是可以通訊的。而在不同 VLAN 中的用戶不能直接進行通訊，如果需要通訊，必須通過三層的路由。在三層路由上，可以通過 ACL 加以控制，限制訪問權限。因此，我們通過 VLAN 系統的合理劃分達到 VLAN 之內信息共享、VLAN 之間相互隔離控制的安全要求。在如交易核心內網、交易隔離網、廣域與災備區(qū)等均設置成不同 VLAN 實現邏輯隔離。防火墻可通過監(jiān)測、限制通過防火墻的數據流，盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況，以此來實現網絡的安全保護。通過安全隔離區(qū)的防火墻隔離出單獨

36、網段區(qū)域，用于連接外聯單位、特殊的訪問要求接入。使用防火墻的隔離保護功能，賦予最小使用權限，保護內部網絡安全。安全隔離區(qū)的網絡設計如下圖所示：證券新建數據中心網絡項目-技術方案深圳市方迪計算機系統有限公司 20如上圖所示：1) 部署 2 臺防火墻執(zhí)行安全控制策略2) 2 臺防火墻部署方式為 Active / Standby3) 部署 2 臺交換機，用于接入防火墻端口的擴展4) 2 臺交換機配置 HSRP，實現設備間的冗余。2.3 可靠性設計可靠性設計網絡系統的穩(wěn)定可靠是應用系統正常運行的關鍵保證，因此我們在證券新數據中心的網絡設計中選用了思科公司系列的高可靠性網絡產品，同時，證券新建數據中心網

37、絡項目-技術方案深圳市方迪計算機系統有限公司 21我們也應合理設計網絡架構，制訂可靠的網絡備份策略，保證網絡具有故障自愈的能力，最大限度地支持各個系統的正常運行。2.3.1 廣域網接入可靠性設計廣域網接入可靠性設計證券目前廣域網接入包括 14 個營業(yè)部、公司總部、銀行三方、深證通以及龍崗電信等單位的接入。在設備方面，部署 2 臺 Cisco 3845 路由器分別接入不同運營商線路，每臺路由器各配置 24 個 G.703 端口，實現設備、模塊的冗余互備。下圖為廣域網接入在正常情況下的數據流方式。證券新建數據中心網絡項目-技術方案深圳市方迪計算機系統有限公司 22當某一中心路由器本身出現故障，不能

38、提供服務時，如下圖所示，可以通過手工整體切換線路至另一臺路由器對應的端口上，即可以實現因路由器故障的切換。另外，目前的 Cisco3640 接入路由器可以做為上述兩臺路由器的冷備路由器，進一步提高廣域網接入的可靠性。證券新建數據中心網絡項目-技術方案深圳市方迪計算機系統有限公司 23當營業(yè)部主線路故障或營業(yè)部路由器(端口)故障時，如下圖所示，如果是中心端先偵測到下聯線路故障，中心 ISDN 拔號路由器將發(fā)起 ISDN 拔號至營業(yè)部路由器，從而實現備份接入。如果是營業(yè)部路由器偵測到上聯線路故障，將由營業(yè)部 VPN 網關發(fā)起 VPN 連接到中心深信服務 VPN 服務器，從而實現備份接入。證券新建數

39、據中心網絡項目-技術方案深圳市方迪計算機系統有限公司 242.3.2 交易內網可靠性設計交易內網可靠性設計交換機端口劃分內網 VLAN1 和內網 VLAN2，實現邏輯隔離。交易核心內網服務器接入內網 VLAN1 端口，內網 VLAN2 端口作為交易隔離網交換機故障時的備份端口。交易內網正常情況下的數據流如下圖所示：證券新建數據中心網絡項目-技術方案深圳市方迪計算機系統有限公司 25當交易核心內網交換機故障時，如下圖所示，只須手工整體切換交易核心內網服務器至交易隔離區(qū)交換機的內網 VLAN1 端口即可實現故障切換。證券新建數據中心網絡項目-技術方案深圳市方迪計算機系統有限公司 26當交易核心內網

40、 VLAN1 中的某一交換機端口（如 port N）出現故障時，如下圖所示，手工切換服務器至交易隔離區(qū)交換機 VLAN1 對應 port N 端口，數據經兩交換機互聯 trunk 線路回傳至交易核心內網交換機后正常傳輸，從而達到故障切換。此時其它端口正常的數據不會改變流向。證券新建數據中心網絡項目-技術方案深圳市方迪計算機系統有限公司 272.3.3 交易隔離網可靠性設計交易隔離網可靠性設計交易隔離區(qū)的交換機端口劃分內網 VLAN1 和內網 VLAN2，實現了邏輯隔離。交易隔離區(qū)服務器接入內網 VLAN2 端口，內網 VLAN1 端口作為交易核心網交換機故障時的備份端口。正常情況下交易隔離區(qū)內

41、的數據流如下圖所示：證券新建數據中心網絡項目-技術方案深圳市方迪計算機系統有限公司 28當交易隔離區(qū)交換機故障時，如下圖所示，只須手工整體切換交易隔離區(qū)服務器至交易核心內網交換機的內網 VLAN2 端口即可實現故障切換。證券新建數據中心網絡項目-技術方案深圳市方迪計算機系統有限公司 29當交易隔離區(qū)交換機 VLAN2 的某端口（例如 port M）出現故障，如下圖所示，只須手工切換服務器至交易內網交換機 VLAN2 對應 port M 端口，數據經兩交換機互聯 trunk 線路回傳至交易隔離區(qū)交換機后正常傳輸，故障切換完成。此時其它端口正常的數據不改變流向。證券新建數據中心網絡項目-技術方案深

42、圳市方迪計算機系統有限公司 302.3.4 廣域與災備域可靠性設計廣域與災備域可靠性設計廣域與災備區(qū)域內部署了 2 臺三層交換機，2 臺交換機之間配置 HSRP，實現終端虛擬網關，此區(qū)域服務器集中接入一臺交換機,另一臺溫備。此區(qū)域內正常情況下數據流如下圖所示。證券新建數據中心網絡項目-技術方案深圳市方迪計算機系統有限公司 31當此區(qū)域內的主交換機發(fā)生故障，如下圖所示，只須手工整體切換此區(qū)域網服務器至另一臺交換機對應端口即可完成故障切換。因為 HSRP 提供了虛擬網關，因此在服務器端無須做任何配置上改動。證券新建數據中心網絡項目-技術方案深圳市方迪計算機系統有限公司 322.3.5 安全隔離網可

43、靠性設計安全隔離網可靠性設計在安全隔離區(qū)內部署了 2 臺防火墻用以執(zhí)行安全控制策略。這 2 臺防火墻部署方式為 Active / Standby。由于防火墻端口擴展相對困難，因此部署了 2臺交換機用于接入防火墻端口的擴展，2 臺交換機配置 HSRP。此區(qū)域內正常情況下的數據流如下圖所示：證券新建數據中心網絡項目-技術方案深圳市方迪計算機系統有限公司 33當主防火墻發(fā)生故障的時候，如下圖所示，防火墻將進行 Active / Standby切換。此時廣域區(qū)主交換機 HSRP 偵聽到了防火墻互聯端口失效，主交換機數據流切至從交換機。證券新建數據中心網絡項目-技術方案深圳市方迪計算機系統有限公司 34

44、當此區(qū)域主交換機發(fā)生故障時，如下圖所示，主防火墻偵聽到與主交換機互聯失效，因此防火墻進行 Active / Standby 切換。因為 HSRP 提供的虛擬網關，其它設備無須做配置上的改動。證券新建數據中心網絡項目-技術方案深圳市方迪計算機系統有限公司 352.4 網絡安全設計網絡安全設計2.4.1 安全保障建議措施安全保障建議措施2.4.1.1VLAN 隔離隔離在網絡上，VLAN 是一個獨立的廣播域，也是一個獨立的沖突域，也就是說，在同一 VLAN 之中的用戶是可以通訊的。而在不同 VLAN 中的用戶不能直接進行通訊，如果需要通訊，必須通過三層的路由。在三層路由上，可以通過 ACL 加以控制

45、，限制訪問權限。因此，我們通過 VLAN 系統的合理劃分達到 VLAN 之內信息共享、VLAN 之間相互隔離控制的安全要求。2.4.1.2ACL 策略控制策略控制劃分 VLAN 只能在廣播域或者說是在本地局域網內有效，對于廣域網上的隔離控制，只能采取定義 ACL 列表，在路由器上啟用防火墻或交換機上啟用包過濾來限制通訊。證券新數據中心網絡建設中我們建議采取的方式是在路由器的廣域網接口上檢查接收數據包的來源地址和目的地址，在交換機端口上檢查需要發(fā)送的數據包的目的地址，符合要求的才轉發(fā)。2.4.1.3802.1X 身份認證身份認證證券新數據中心網絡的設計中，建議可考慮使用局域網 802.1X 身份

46、認證系統，任何人只要將計算機連接到交換機上，就需要首先進行身份認證，認證通過后，獲得相應的 IP 地址，才能連接到網絡上。使用局域網 802.1X 身份認證需要三個條件:1) 客戶端：一般安裝在用戶的工作站上，當用戶有上網需求時，激活客戶端程序，輸入必要的用戶名和口令，客戶端程序將會送出連接請求。 目前，windows 2000 或者 windows XP 都自帶 802.1x 客戶端程序。2) 認證系統：支持 802.1X 認證的交換機，其主要作用是完成用戶認證信息的上傳、下達工作，并根據認證的結果打開或關閉端口。 3) 認證服務器：通過檢驗客戶端發(fā)送來的身份標識（用戶名和口令）來判證券新建

47、數據中心網絡項目-技術方案深圳市方迪計算機系統有限公司 36別用戶是否有權使用網絡系統提供的網絡服務，并根據認證結果向交換機發(fā)出打開或保持端口關閉的狀態(tài)。一般 RADIUS 服務器作為認證服務器。2.4.1.4AAA AAA 是 Authentication，Authorization and Accounting（認證、授權和計費）的簡稱，它是對網絡安全的一種管理。AAA 服務可以完成以下功能：驗證用戶是否可獲得訪問權，授權用戶可使用哪些服務，記錄用戶使用網絡資源的情況。證券新數據中心網絡內建議部署 AAA 認證。2.4.1.5防火墻隔離防火墻隔離防火墻可通過監(jiān)測、限制通過防火墻的數據流，盡

48、可能地對外部屏蔽網絡內部的信息、結構和運行狀況，以此來實現網絡的安全保護。中心新數據中心網絡內建議使用防火墻隔離出單獨網段區(qū)域，用于連接外聯單位、特殊的訪問要求接入。使用防火墻的隔離保護功能，賦予最小使用權限，保護內部網絡安全。2.4.1.6網絡設備保護網絡設備保護采取如下措施對網絡設備加以保護1) 在路由器上、交換機上要設置控制臺口令、特權用戶口令、遠程登錄口令和分級用戶名和口令，并使用加密口令。2) 建立日志服務器記錄日志。 3) 只允許網管網段對網絡設備進行 Telnet 訪問。4) 關閉不必要的網絡服務，關閉禁止源路由功能、finger 服務、bootp 服務和域名解析功能。5) 只允

49、許網管地址段的網管服務器對網絡設備進行 SNMP 管理。證券新建數據中心網絡項目-技術方案深圳市方迪計算機系統有限公司 372.4.2 防火墻安全部署設計防火墻安全部署設計建議在安全隔離區(qū)及 DMZ 區(qū)部署三臺高性價比的防火墻進行安全策略的實施。其中字全隔離區(qū)部署 2 臺防火墻用于冗余熱備。證券新數據中心的防火墻部署設計如下圖所示：Juniper 網絡公司安全業(yè)務網關（SSG）300 系列是新型的專用安全產品，為地區(qū)和分支辦事處部署提供高性能、安全性和局域網/廣域網連接的完美組合，通過一系列完整的統一威脅管理（UTM）安全特性-如狀態(tài)防火墻、IPSec VPN、IPS、防病毒（包括防間諜軟件、

50、防廣告軟件和防網頁仿冒） 、防垃圾郵件和 Web 過濾等-來保護出入分支辦事處的流量免遭蠕蟲、間諜軟件、特洛伊木馬和惡意軟件的攻擊。SSG 320M 可以提供 450Mbps 的防火墻流量，具有極高的性價比，建議選用 3 臺 Juniper SSG-320M-SH（注：1G 內存）防火墻。證券新建數據中心網絡項目-技術方案深圳市方迪計算機系統有限公司 382.5 雙網卡冗余備份方案的網絡設計建議雙網卡冗余備份方案的網絡設計建議證券各類服務器作為集中交易平臺的核心，其穩(wěn)定性和安全性至關重要，連接服務器的網絡鏈路是尤為重要的一環(huán)。增加熱備份冗余鏈路成為保障服務器鏈路通暢常用的方法之一，此方式可以強

51、化系統網絡鏈路，減少故障率。 證券新建數據中心搭建了各種信息平臺，服務器作為信息平臺的硬件載體，其穩(wěn)定性日趨重要。其中，網絡鏈路又是尤為重要的一環(huán)，顯然，如何保障服務器網絡鏈路的持續(xù)穩(wěn)定工作已成為擺在網絡管理員、系統管理員面前的重要問題了。 增加熱備份冗余鏈路成為保障服務器鏈路通暢常用的方法之一，此方式可以強化系統網絡鏈路，減少故障率。 服務器網絡冗余備份方式可以應用于企業(yè)的重要業(yè)務訪問，實施后，相應業(yè)務在多種冗余技術的支持下，將會更加穩(wěn)固。包括部署了金證集中交易系統在內的眾多證券信息平臺的關鍵服務器都通過服務器雙網卡方式實現服務器網絡的冗余備份。通過軟件將雙網卡綁定為一個 IP 地址（許多高

52、檔服務器網卡都具有多網卡綁定功能），可以通過軟硬件設置將兩塊或者多塊網卡綁定在同一個 IP 地址上，使用起來就好象在使用一塊網卡，這對客戶訪問將達到透明。建議證券部署在核心內網、交易隔離區(qū)及廣域區(qū)等關鍵服務器部署雙網卡冗余備份方案，當服務器某一塊網口故障的情況下無需人工干，另一塊立刻接管全部負載，過程是無縫的，服務不會中斷。在此方案下的網絡設計如下圖所示：證券新建數據中心網絡項目-技術方案深圳市方迪計算機系統有限公司 39為保證網絡設備熱備份，核心設備、服務器接入設備都使用了雙機，配置802.1q Trunk 模式互聯，屬同一 VTP Domain，并都啟用了 STP（Spanning Tre

53、e Protocol，生成樹協議），利用 STP 實現網絡設備、網絡鏈路的切換，將一臺交換機設置為 STP 根（root）交換機。通過 STP 協商后屏蔽的端口，以避免環(huán)路，無數據流量可視為中斷。另外將交換機的終端接入端口設置為PortFast，以加快交換機端口啟用時間。 軟件使用原則軟件使用原則 服務器接入可以通過使用網卡捆綁軟件實現熱備冗余，對于服務器雙網卡捆綁軟件的選擇可遵循以下幾點原則: 兼容性好，能在不同品牌網卡上使用； 中斷恢復快; 能檢測深層中斷，即能檢測到非直連設備的中斷。 證券新建數據中心網絡項目-技術方案深圳市方迪計算機系統有限公司 40推薦軟件推薦軟件 NIC Expre

54、ss 4.0 是一款兼容性較好的捆綁軟件，它能兼容 Broadcom、D-Link 等常見網卡，但在 Intel 網卡上安裝會造成大量丟包。 Inter Proset 是針對 Intel 網卡的專用網卡捆綁軟件，但 Inter Proset只能在 Intel 網卡上使用，且不支持深層中斷的檢測。 相關軟件設置建議相關軟件設置建議 NICNIC ExpressExpress 4.04.0 使用 NIC Express 的 ELB 模式，將網絡檢測這一關鍵參數設置為 Status Packet，而不能使用 Auto，因為設置為 Auto 只能檢測到直連部分的中斷情況，而設置為 Status Pac

55、ket 可以通過發(fā)狀態(tài)包，檢測到網絡中的非直連部分的中斷，響應時間更快。其余可使用默認設置。 InterInter ProsetProset 使用默認設置即可，另外需要注意: 使用 Inter Proset 的網卡有隱含的主備關系，即只有主用工作，主用網卡中斷后隱含的主備關系交換，再接回后主備關系不變化。本文所有測試時，都使用 2 號網卡為主用的情況。 中斷服務器網線測試中斷服務器網線測試 測試方式: 中斷服務器所連網線，再接回，看有無中斷。 測試結論: 使用網卡捆綁軟件后，中斷任意一條網線或接回均不會造成數據傳輸中斷。 證券新建數據中心網絡項目-技術方案深圳市方迪計算機系統有限公司 413設

56、備配置方案設備配置方案3.1 廣域網接入路由器配置廣域網接入路由器配置廣域網接入路由器配置為 2 臺 CISCO3845，每臺配置 24 個 E1 接口，每臺具體配置如下：序號序號編號編號描述描述數量數量備注備注1.1CISCO38453845 w/AC PWR,2GE,1SFP,4NME,4HWIC, IP Base, 64F/256D1CISCO3845 路由器1.2S384IPB-12415XYCisco 3845 IP BASE W/O CRYPTO1IOS 操作系統1.3NM-2W2 WAN Card Slot Network Module(no LAN)22 WAN 卡插槽1.4V

57、WIC2-2MFT-T1/E12-Port 2nd Gen Multiflex Trunk Voice/WAN Int. Card - T1/E142 端口第 2 代T1/E1 VWIC 子卡，集成語音功能1.5HWIC-4T1/E14 port clear channel T1/E1 HWIC44 端口通道化的T1/E1 HWIC 子卡，有成幀與非成幀模塊1.6PWR-3845-AC/2Cisco3845 redundant AC power supply1冗余電源1.7CAB-ACAPlug,Power Cord,Australian,10A2電源線1.8CAB-E1-RJ45BNCE1

58、Cable RJ45 to Dual BNC (Unbalanced)11線纜3.2 交易內網交易內網/交易隔離網交換機配置交易隔離網交換機配置區(qū)域 1/區(qū)域 2 交換機配置為 2 臺 CISCO Catalyst 4948，每臺具體配置如下：序號序號編號編號描述描述數量數量備注備注2.1WS-C4948-SCatalyst 4948, IPB s/w, 48-1Catalyst 4948證券新建數據中心網絡項目-技術方案深圳市方迪計算機系統有限公司 42Port 10/100/1000+4 SFP, 1 AC p/s交換機2.2CAB-AS3112-C15-AUAS-3112 to IEC-

59、C15 8ft Aus2電源線2.3PWR-C49-300AC/2Catalyst 4948 300-Watt AC Power Supply Redundant1冗余電源3.3 廣域網廣域網/災備網交換機配置災備網交換機配置區(qū)域 3/區(qū)域 4 交換機配置為 2 臺 CISCO Catalyst4948，每臺具體配置如下：序號序號編號編號描述描述數量數量備注備注2.1WS-C4948-SCatalyst 4948, IPB s/w, 48-Port 10/100/1000+4 SFP, 1 AC p/s1Catalyst 4948 交換機2.2CAB-AS3112-C15-AUAS-3112

60、to IEC-C15 8ft Aus2電源線2.3PWR-C49-300AC/2Catalyst 4948 300-Watt AC Power Supply Redundant1冗余電源3.4 安全隔離區(qū)與安全隔離區(qū)與 DMZ 區(qū)防火墻配置區(qū)防火墻配置區(qū)域 5 配置 2 臺 JUNIPER SSG320 防火墻，區(qū)域 6 配置 1 臺 JUNIPER SSG320 防火墻，合計 3 臺防火墻，每臺具體配置如下：序號序號編號編號描述描述數量數量備注備注4.1SSG-320M-SHSecure Services Gateway 320 System, High Memory (1GB), 3 PI

61、M slots, AC Power Supply, ScreenOS, 19 Rack Mount1Juniper SSG320 防火墻3.5 安全隔離網交換機配置安全隔離網交換機配置區(qū)域 5 內的 2 臺交換機建議利用現有的兩臺 Cisco Catalyst 3750G 交換機。證券新建數據中心網絡項目-技術方案深圳市方迪計算機系統有限公司 433.6 DMZ 區(qū)域及辦公網交換機配置區(qū)域及辦公網交換機配置區(qū)域 6 及區(qū)域 7 的交換機建議利用現有的兩臺 Cisco Catalyst 3550 交換機。證券新建數據中心網絡項目-技術方案深圳市方迪計算機系統有限公司 444系統實施與測試方案系統

62、實施與測試方案方迪公司是一家優(yōu)秀的系統集成商，向用戶提供的不僅僅是設備，而是整套的技術與服務，是快速、高效、安全、智能網絡的整體解決方案供應商。在工程實施過程中，方迪公司將與用戶一起制定全面的項目風險控制措施，嚴格執(zhí)行工程各階段實施計劃，并與廠家等三方一起制定切實可行的系統測試方案。4.1 項目風險控制項目風險控制工程實施，特別是證券新建數據中心網絡項目這樣的大型工程在實施過程中總會存在一定的風險和不可預測的因素。這些情況未必一定會出現，但是事先有所預測并安排有效的對策，可以最大限度的減小各種損失，使工程進展更為順利。方迪公司將嚴格執(zhí)行如下的項目風險控制措施：1.實施步驟的完整性，對于每一個實

63、施步驟各方所需要執(zhí)行的動作有明確的規(guī)定，有精確的時間順序安排，對每一個動作有詳細的操作步驟，對每一個執(zhí)行的動作都有相應的檢查是否完成的步驟，達到任何一個只要具有實際實施經驗的工程師都能按實施方案完成執(zhí)行動作。2.詳細描述實施方案的風險和局限性，明確使用實施方案所應承擔的風險和將導致的后果。3.在實施前需要各參與單位和人員最終確認實施方案的正確性、明確各方所執(zhí)行的動作和擔負的責任。4.對于檢查實施方案的每一個階段是否達到方案要求，需要有每一階段的測試內容，明確那些測試在指定時間點不能完成或完成后測試結果不正確的情況下需要采用網絡回退方案，不再執(zhí)行實施方案的下一個執(zhí)行動作或不進入下一個實施階段。方

64、迪公司在實施證券新數據中心網絡建設項目中，要求的原則是施工過程中絕對不能影響到目前網絡，保證原網絡的穩(wěn)定性，方迪公司在系統實施中工程分為六個階段完成。證券新建數據中心網絡項目-技術方案深圳市方迪計算機系統有限公司 45階段一：準備階段，階段一：準備階段，前期的準備工作，內容包括設計方案的確認及實驗環(huán)境下的模擬測試，新設備的驗收、進場、加電測試，配置寫入、所有新申請電路的測試。階段二：網絡安裝階段，階段二：網絡安裝階段，前提條件是第一部分工作完成。內容包括主干交換機安裝調試，二級交換機安裝調試、主干路由器安裝調試。階段三：系統測試階段，階段三：系統測試階段，網絡設備、主機、應用系統整體測試，作為

65、割接上線前的必要準備。階段四：網絡割接階段，階段四：網絡割接階段，前提條件是第三階段工作完成。內容包括主干網絡設備上線切換與試運行。階段五：回退計劃階段，階段五：回退計劃階段，在網絡割接過程中，如果由于某些原因造成割接工作不能繼續(xù)時，需要迅速地回退到上一步或根據情況完全將網絡聯接恢復為原有狀態(tài)，減少業(yè)務中斷時間，并盡快排除故障。階段六：監(jiān)控及優(yōu)化階段，階段六：監(jiān)控及優(yōu)化階段，網絡切換后進行檢查。針對試運行的效果進行優(yōu)化。證券新建數據中心網絡項目-技術方案深圳市方迪計算機系統有限公司 464.2 工程實施方案工程實施方案4.2.1 第一階段：實施方案準備第一階段：實施方案準備1.設計方案的確認設

66、計方案的確認方迪公司將根據證券本項目的招標文件、方迪公司的投標文件，并結合用戶的具體需求，在詳細的需求調研的基礎上制定詳細的工程實施技術及施工方案書 。此方案須經證券與方迪公司雙方認可確認。2.實驗環(huán)境下方案測試實驗環(huán)境下方案測試 按照設計方案，模擬了多套測試方案，測試結果符合設計方案。3.網絡設備定義網絡設備定義網絡設備命名建議分為四部分，A-B-C-D，解釋如下：A：表示設備類型，R路由器，S交換機，F防火墻B：設備放置地點，用拼音的全拼或所寫組成（大寫） ，如：SJZX數據中心等等C：設備型號，如 3662，4948，3750，3845 等等D：主用或備用或樓層等，M主用，S備用，22 樓。網絡設備標簽定義：網絡設備標簽要求填寫設備名稱、設備型號、購進時間，管理人員等線路標簽定義：本端設備名稱端口號 To 對端設備名稱端口號證券新建數據中心網絡項目-技術方案深圳市方迪計算機系統有限公司 474.新網絡新網絡 IP 地址規(guī)劃地址規(guī)劃IP 地址規(guī)劃，應滿足當前網絡運行及未來業(yè)務增長的需要。5.新網絡做配置模版新網絡做配置模版新增網絡設備配置模版。6.新購設備開箱驗貨新購設備開箱驗貨證